Công bố: 3 tháng 12, 2025

Thông tin chính

Lỗ hổng nghiêm trọng được phát hiện trong giao thức React Server Components (RSC), được đánh giá CVSS 10.0 và có thể cho phép thực thi mã từ xa khi xử lý các yêu cầu do kẻ tấn công kiểm soát trong môi trường chưa được vá.

Nguồn gốc: Lỗ hổng này bắt nguồn từ React (CVE-2025-55182) và ảnh hưởng đến các ứng dụng Next.js sử dụng App Router.

Phiên bản bị ảnh hưởng

• Next.js 15.x
• Next.js 16.x
• Next.js 14.3.0-canary.77 trở lên (các phiên bản canary)

Không bị ảnh hưởng: Next.js 13.x, Next.js 14.x stable, Pages Router, và Edge Runtime.

Phiên bản đã vá lỗi

• 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7
  
• 16.0.7
• Canary: 15.6.0-canary.58, 16.1.0-canary.12
  

Cách khắc phục NGAY

Cập nhật theo phiên bản bạn đang dùng:

# Nếu dùng Next.js 15.0.x

# Nếu dùng Next.js 15.1.x

# Nếu dùng Next.js 16.0.x

# Hoặc dùng công cụ tự động

QUAN TRỌNG: Không có cách giải quyết thay thế - việc nâng cấp lên phiên bản đã vá là bắt buộc.

Công cụ hỗ trợ

Vercel đã phát hành công cụ fix-react2shell-next để tự động kiểm tra và cập nhật phiên bản Next.js của bạn.

Người phát hiện

Lachlan Davidson đã phát hiện và báo cáo lỗ hổng một cách có trách nhiệm.